La gestión de registros puede ser una tarea compleja. Una organización típica no solo genera una gran cantidad de ellos, sino que también provienen de una variedad de fuentes, cada una con un formato potencialmente diferente y que contiene información diferente. Para poner una apariencia de orden en algo que puede volverse caótico rápidamente, se inventó la administración de registros. Hoy, estamos analizando las mejores prácticas y sistemas de administración de registros. Esperamos que le ayude a ver claramente a través de esto.
Comenzaremos con una breve descripción de la gestión de registros. Luego, nos sumergiremos en las mejores prácticas de gestión de registros. Exploraremos si debe utilizar un sistema prefabricado o hacerlo usted mismo. También veremos qué (y qué no) monitorear, seguido de la seguridad y retención de registros, así como las consideraciones de almacenamiento. Y antes de revisar algunos de los mejores sistemas de administración de registros, veremos las diversas tareas de administración, la revisión y el mantenimiento de registros, la correlación de fuentes de datos y algunas consideraciones de automatización.
Acerca de la gestión de registros
Definido de manera simple, un registro es la documentación producida automáticamente y con sello de tiempo de un evento relevante para un sistema en particular. Cuando ocurre un evento en un sistema, se genera un registro o entrada de registro. Los diferentes sistemas generarán registros para diferentes eventos. En cuanto a la gestión de registros, generalmente se refiere a los procesos y políticas que se utilizan para administrar y facilitar la generación, transmisión, análisis y almacenamiento de datos de registros. La gestión de registros generalmente implica un sistema centralizado donde se agregan registros de múltiples fuentes.
Sin embargo, la gestión de registros no es solo una recopilación de registros. Como su nombre lo indica, la parte de gestión es importante. Una vez que el sistema de administración de registros recibe los registros, se “traducen” a un formato común. Es necesario ya que los diferentes sistemas dan formato a los registros de manera diferente e incluyen diferentes datos en sus registros. Para facilitar la búsqueda y la correlación de eventos, uno de los propósitos de los sistemas de administración de registros es garantizar que todas las entradas de registros recopiladas se almacenen en un formato uniforme.
Hablando de búsqueda e incluso correlación, esta es otra característica importante de la mayoría de los sistemas de administración de registros. Los mejores sistemas de gestión de registros cuentan con un potente motor de búsqueda. Permite a los administradores concentrarse exactamente en lo que se necesita. Además, la correlación de eventos agrupará automáticamente los eventos relacionados, incluso si son de diferentes fuentes.
Prácticas recomendadas para la gestión de registros
La gestión de registros es un proceso complejo, no hay mucho que podamos hacer al respecto. Con esta complejidad viene el riesgo de hacerlo mal. Para evitar eso, hemos compilado una lista de algunas de las mejores prácticas de administración de registros. Nuestro objetivo es brindarle la mayor cantidad de información posible para elegir el mejor sistema de administración de registros para sus necesidades pero, lo que es más importante, aprovecharlo al máximo.
¿Sistema de gestión de registros o bricolaje?
Por alguna razón, algunas personas creen que pueden implementar manualmente un "sistema de gestión de registros". Si estás entre estas personas, deja de engañarte de inmediato. Aunque es posible implementar alguna forma de administración de registros manualmente, los esfuerzos necesarios superan con creces lo que se requiere para implementar un verdadero sistema de administración de registros. Y con varias herramientas gratuitas y de código abierto disponibles, el argumento del costo no es válido.
Casi siempre tiene sentido utilizar una solución de registro administrada que haya sido creada, respaldada y escalada por un proveedor de confianza en lugar de crear un sistema por su cuenta. Con ellos, todo lo que normalmente necesita hacer es conectar sus fuentes y destinos y estará listo para analizar los registros del sistema y de las aplicaciones de manera sencilla. Tendrá la libertad de dedicar más tiempo a monitorear y registrar en lugar de construir su infraestructura de registro.
Saber qué monitorear (y qué no)
Saber qué registrar es importante, pero es aún más importante saber qué no registrar. El hecho de que pueda registrar algo no significa necesariamente que deba hacerlo. Registrar demasiado a menudo no hace más que dificultar la búsqueda de datos que realmente importan. Además, el volumen adicional de registros agrega complejidad y costo a sus procesos de almacenamiento y administración de registros. Es importante pensar en lo que se registrará y lo que no se registrará antes de comenzar a implementar una plataforma de administración de registros. Evitará errores costosos y le permitirá dimensionar mejor su herramienta.
Considere cuidadosamente lo que realmente necesita para iniciar sesión. Lo más probable es que se registren los entornos de producción que son críticos para el cumplimiento o para fines de auditoría. También deberían hacerlo los datos que le ayuden a solucionar problemas de rendimiento, resolver problemas de experiencia del usuario o monitorear eventos relacionados con la seguridad.
Por el contrario, hay cosas que no necesita registrar como, por ejemplo, entornos de prueba que no son una parte esencial de sus procesos comerciales. También hay datos que elegirá no registrar por motivos de cumplimiento o seguridad. Por ejemplo, si un usuario ha habilitado una configuración de no rastrear, no debe registrar datos asociados con ese usuario.
Implementación de una política de retención y seguridad de registros
Los registros pueden contener datos confidenciales. Por esa razón, debe tener una política de seguridad de registros. Será invaluable, por ejemplo, para garantizar que los datos confidenciales se anonimicen o cifren. Además, el transporte seguro de los datos de registro a los sistemas de gestión de registros exige el uso de transporte cifrado mediante TLS o HTTPS en el cliente y en el lado del servidor.
En cuanto a una política de retención, los registros de diferentes fuentes o sistemas pueden requerir diferentes tiempos de retención. Por ejemplo, los registros que se utilizan principalmente para la resolución de problemas pueden funcionar con tiempos de retención relativamente cortos, como unos pocos días, o incluso unas pocas horas. Por otro lado, los registros relacionados con la seguridad o los registros de transacciones comerciales requieren tiempos de retención más prolongados, a menudo para el cumplimiento normativo. Teniendo esto en cuenta, su política de retención debe ser flexible y adaptable, según el origen del registro o el tipo de registro.
Consideraciones sobre el almacenamiento de registros
Mantener los datos de registro consume un valioso espacio de almacenamiento. Al planificar la capacidad de almacenamiento de registros, debe tener en cuenta los picos de carga elevados. En la mayoría de las circunstancias, la cantidad de registro de datos por día es relativamente constante. Depende principalmente de la utilización del sistema y / o del número de transacciones por día. Sin embargo, cuando algo sale mal, puede esperar un crecimiento acelerado en el volumen de registros. Si su almacenamiento de registros tiene límites que excede, podría perder los registros más recientes. Para mitigar este efecto, los mejores sistemas de gestión de registros utilizan un búfer cíclico. Elimina los datos más antiguos primero antes de que se aplique cualquier límite de almacenamiento.
Además, el almacenamiento de registros debe tener su propia política de seguridad. La mayoría de los atacantes intentarán evitar o eliminar sus rastros en los archivos de registro. Para evitarlo, debe enviar los registros en tiempo real al almacenamiento de registros central, preferiblemente fuera del sitio, y asegurarlo. Por lo tanto, si un atacante tiene acceso a su infraestructura, los registros externos mantendrán la evidencia intacta.
Revisión y mantenimiento de registros
El mantenimiento de registros es una parte importante de la gestión de registros, si no la parte más importante. Los registros no mantenidos pueden llevar a una resolución de problemas más prolongada, riesgos de exposición de datos y mayores costos de almacenamiento de registros. Revise los registros generados por sus sistemas y ajuste el nivel de registro a sus necesidades. Debe considerar los aspectos de usabilidad, operativos y de seguridad.
Hacer configurable el nivel de registro
Algunos registros del sistema son demasiado detallados, mientras que otros no proporcionan suficiente información. Desafortunadamente, no siempre hay algo que puedas hacer al respecto. La mayoría de los sistemas proporcionan niveles de registro ajustables. Son la clave para configurar la verbosidad de los registros y garantizar que lo que se debe registrar lo sea y lo que no es importante no lo es.
Inspeccione los registros de auditoría con frecuencia
Actuar sobre cuestiones de seguridad es fundamental. Es por eso que uno siempre debe estar atento a los registros. Si su sistema de administración de registros no tiene esa característica, muchos de ellos la tienen, use herramientas de seguridad externas como auditd u OSSEC. Implementan análisis de registros en tiempo real y generan registros de alerta que apuntan a posibles problemas de seguridad. Y además de eso, debes definir alertas sobre eventos críticos para poder ser notificado rápidamente sobre cualquier actividad sospechosa.
Correlacionar fuentes de datos
La tala es solo un elemento de una estrategia de seguimiento global. Para una supervisión verdaderamente eficaz, debe complementar la gestión de registros con otros tipos de supervisión, como la supervisión basada en eventos, alertas y seguimiento. Hacer eso es la mejor manera de obtener una imagen completa de lo que está sucediendo en cualquier momento. Si bien los registros son buenos para proporcionar detalles de alta definición sobre problemas, esto es más útil cuando toma cierta distancia para mirar el bosque antes de acercarse a los árboles.
La gestión de registros no funciona bien en un silo. Nada lo hace. Definitivamente debe complementarlo con otros tipos de monitoreo, como monitoreo de red, monitoreo de infraestructura y más. Y en un mundo ideal, su solución de monitoreo debería ser lo suficientemente completa como para brindar toda su información de monitoreo en un solo lugar. Alternativamente, podría integrarse con otras herramientas que brinden esta información. El objetivo aquí es tener, tanto como sea posible, una vista de un solo panel de todo el entorno.
Gestión y automatización de registros
La administración de registros puede ayudarlo a detectar problemas desde el principio, lo que le permite ahorrar tiempo y energía a usted y a su equipo. También puede ayudarlo a encontrar oportunidades para la automatización. La mayoría de las herramientas de administración de registros le permitirán configurar alertas personalizadas que se activan cuando sucede algo. Algunos incluso le permitirán configurar acciones automáticas para que se inicien cuando se activen estas alertas. Debe utilizar tanta automatización como le permita su herramienta de gestión. A pesar del tiempo que dedicará a configurar esta automatización, encontrará que valió la pena la primera vez que se encuentre con un incidente.
Las 6 mejores herramientas de gestión de registros
Hemos rastreado el mercado tratando de encontrar la mejor herramienta de administración de registros. Intentamos armar una lista que incluye varios tipos de herramientas. Después de todo, las necesidades de cada persona son diferentes y la mejor herramienta para uno no es necesariamente la mejor para otra persona.
1. Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATUITA)
SolarWinds es un nombre común en el campo de las herramientas de administración de redes. Ha existido durante aproximadamente dos décadas y nos ha brindado algunas de las mejores herramientas de monitoreo de ancho de banda y analizadores y recolectores NetFlow. La compañía también es conocida por publicar varias herramientas gratuitas que abordan algunas necesidades específicas de los administradores de red, como una calculadora de subred o un servidor syslog.
Cuando se trata de administración de registros, la oferta de la compañía ahora se llama SolarWinds Security Event Manager . Recientemente se le cambió el nombre de Log & Event Manager , probablemente para reflejar mejor el hecho de que en realidad es mucho más que un sistema de administración de registros. Muchas de sus funciones avanzadas lo colocan en el rango de Gestión de eventos e información de seguridad (SIEM). Tiene, por ejemplo, correlación de eventos en tiempo real y corrección en tiempo real, dos características similares a SIEM.
Echemos un vistazo a algunas de las características principales de SolarWinds Security Event Manager . La herramienta puede eliminar amenazas rápidamente mediante la detección instantánea de actividad sospechosa y respuestas automáticas. También puede realizar investigación de eventos de seguridad y análisis forense para mitigación y cumplimiento. Y hablando de cumplimiento, el producto le permitirá demostrarlo, gracias a sus informes comprobados por auditorías para HIPAA, PCI DSS y SOX, entre otros. Esta herramienta también tiene monitoreo de integridad de archivos y monitoreo de dispositivos USB, dos características que están muy por encima de lo que comúnmente vemos en los sistemas de administración de registros.
Los precios de SolarWinds Security Event Manager comienzan en $ 4,585 para hasta 30 nodos monitoreados. Se pueden comprar licencias para hasta 2500 nodos, lo que hace que el producto sea altamente escalable. Y si desea verificar de manera práctica que el producto es adecuado para usted, está disponible una prueba gratuita de 30 días con todas las funciones .
2. SolarWinds Papertrail (PLAN GRATUITO DISPONIBLE)
En segundo lugar, tenemos otro gran producto llamado Papertrail , una reciente adquisición por parte de SolarWinds . Papertrail es un popular sistema de gestión de registros basado en la nube. Agrega archivos de registro de una amplia variedad de productos populares como Apache o MySQL, así como aplicaciones Ruby on Rails, diferentes servicios de alojamiento en la nube y otros archivos de registro de texto estándar. Los usuarios de Papertrail pueden utilizar la interfaz de búsqueda basada en web o las herramientas de línea de comandos para buscar en estos archivos y ayudar a diagnosticar errores y problemas de rendimiento. La herramienta también se integra con otros SolarWinds productos como Librato y Geckoboard para graficar los resultados.
Papertrail es una oferta de software como servicio (SaaS) basada en la nube de SolarWinds . Es fácil de implementar, usar y comprender. Y le dará visibilidad instantánea de todos los sistemas en minutos. La herramienta tiene un motor de búsqueda muy eficaz que puede buscar tanto en registros almacenados como en streaming. Y es rápido como un rayo.
Papertrail está disponible en varios planes, incluido un plan gratuito. Sin embargo, es algo limitado y solo permite 100 MB de registros cada mes. Sin embargo, permitirá 16 GB de registros en el primer mes, lo que equivale a ofrecerle una prueba gratuita de 30 días . Los planes pagados comienzan en $ 7 / mes por 1GB / mes de registros, 1 año de archivo y 1 semana de índice. El filtrado de ruido permite que la herramienta preserve los datos al no guardar registros inútiles.
3. Analizador de registro de eventos de ManageEngine
ManageEngine , otro nombre común con los administradores de red, es un excelente sistema de administración de registros llamado ManageEngine EventLog Analyzer . El producto recopilará, gestionará, analizará, correlacionará y buscará a través de los datos de registro de más de 700 fuentes mediante una combinación de recopilación de registros sin agente y basada en agentes, así como importación de registros.
La velocidad es uno de los puntos fuertes de ManageEngine EventLog Analyzer . Puede procesar datos de registro a una velocidad impresionante de 25.000 registros / segundo y detectar ataques en tiempo real. También puede realizar análisis forenses rápidos para reducir el impacto de una infracción. Las capacidades de auditoría del sistema se extienden a los registros de los dispositivos del perímetro de la red, las actividades de los usuarios, los cambios de la cuenta del servidor, los accesos de los usuarios y más, lo que lo ayuda a satisfacer las necesidades de auditoría de seguridad.
El ManageEngine EventLog Analyzer está disponible en una edición gratuita característica-reducido que sólo admite 5 fuentes de registro o en una edición superior que comienza en $ 595 varía de acuerdo con el número de dispositivos y aplicaciones. También está disponible una versión de prueba gratuita de 30 días con todas las funciones.
4. Ipswitch Log Management Suite
El Management Suite Log es un producto de Ipswitch , la misma compañía que nos trajo WhatsUp Gold , un inmenso popular herramienta de monitorización. Esta es una herramienta automatizada que recopila, almacena, archiva y guarda registros del sistema, eventos de Windows y registros W3C / IIC. Además, su vigilancia de registros continua le alertará de cualquier actividad sospechosa.
Se pueden seguir los eventos auditados con frecuencia, como derechos de acceso y privilegios de archivos, carpetas y objetos, generando alertas según sea necesario y utilizados para crear informes de cumplimiento para el cumplimiento de HIPAA, SOX, FISMA, PCI, MiFID o Basilea II. La herramienta también puede ayudarlo a transformar sus datos de registro sin procesar en datos significativos para gerentes o equipos de seguridad de TI, gracias a sus funciones automatizadas de filtrado, correlación, generación de informes y conversión.
La información de precios de Log Management Suite no está disponible en Ipswitch . El producto se puede comprar directamente al editor oa través de la red de revendedores de Ipswitch . También está disponible una versión de prueba gratuita.
5. Administrador de registros lógicos de alertas
El enfoque principal de Alert Logic es la seguridad y el cumplimiento. Y dado que la gestión de registros está estrechamente relacionada con ambos, no sorprende que la empresa ofrezca el Administrador de registros de Alert Logic . Esta herramienta basada en la nube ofrece una gestión de registros automatizada y unificada en todos sus entornos. Recopilará, agregará y buscará datos de registro de la nube, el servidor, la aplicación, la seguridad y los activos de red.
El administrador de registros de Alert Logic incluye monitoreo y análisis de registros, así como una revisión de registros que se realiza en vivo por analizadores humanos. Los expertos de Alert Logic lo alertarán sobre una posible actividad de amenazas los 365 días del año. El servicio también ayudará a cumplir con los requisitos de revisión de registros de SOC 2, HIPAA y SOX y aliviará la carga de revisar registros y realizar un seguimiento de los eventos para cumplir con PCI / DSS 10.6, 10.6.1, 10.6.3
La información de precios para Alert Logic Log Manager no está disponible en la web y deberá comunicarse con el departamento de ventas de Alert Logic para obtener una cotización formal. Una prueba gratuita tampoco está disponible, pero se puede concertar una demostración gratuita poniéndose en contacto con Alert Logic .
6. Servidor de registro de Nagios
Es posible que ya conozca a Nagios como un excelente paquete de monitoreo de red. Ofrecido de forma gratuita y de código abierto, así como en una versión comercial, el producto tiene una sólida reputación. Para la gestión de registros, la oferta de Nagios se llama Nagios Log Server . Es un paquete completo con administración, monitoreo y análisis de registros centralizados. Esta herramienta puede simplificar el proceso de búsqueda de sus datos de registro. También le permite configurar alertas para recibir notificaciones de posibles amenazas. Además, el software tiene una alta disponibilidad y una conmutación por error incorporada. Sus asistentes de configuración de fuentes fáciles pueden ayudarlo a configurar sus servidores y otros dispositivos para enviar sus datos de registro a la plataforma, lo que le permite comenzar a monitorear sus registros en minutos.
El servidor de registro de Nagios proporciona una correlación sencilla de los eventos de registro en todas las fuentes de registro con solo unos pocos clics. El sistema le permitirá ver los datos de registro en tiempo real, lo que le permitirá analizar y resolver problemas en tiempo real, a medida que ocurren. Otro punto fuerte del producto es su impresionante escalabilidad. Esta herramienta sigue satisfaciendo sus necesidades a medida que crece su organización. Si es necesario, se pueden agregar instancias adicionales de Nagios Log Server a un clúster de monitoreo, lo que le permite agregar rápidamente más potencia, velocidad, almacenamiento y confiabilidad.
Con todas estas características, uno esperaría un precio elevado. No es el caso y el precio de instancia única para Nagios Log Server es de $ 3 995 muy razonables. A pesar de no ofrecer una prueba gratuita, hay una demostración gratuita en línea disponible, en caso de que prefiera ver el producto de primera mano. antes de tomar una decisión de compra.
El mercado de software de gestión de red está muy concurrido. Acceda a su búsqueda siguiendo nuestras recomendaciones de las mejores herramientas de administración de red.
Los barridos de ping se pueden utilizar para su beneficio de muchas maneras. Siga leyendo mientras discutimos cómo y presentamos las 10 mejores herramientas de barrido de Ping que puede encontrar.
Los sitios web son importantes y deben ser monitoreados de cerca constantemente para un rendimiento adecuado. Estas son algunas de las mejores herramientas para monitorear sitios web.
Aquí hay un vistazo a algunas de las mejores herramientas de implementación de software para aliviar el dolor de administrar cualquier cantidad de máquinas.
Si está en la industria de la salud o de alguna manera está involucrado con TI en esa industria, es probable que haya oído hablar de HIPAA. La portabilidad del seguro médico
sFlow es un protocolo de análisis de flujo integrado en numerosos dispositivos de red. Repasamos los cinco mejores analizadores y recolectores de flujo gratuitos.
Dado que Linux se está volviendo cada vez más popular en los centros de datos, estamos analizando la supervisión del ancho de banda en Linux y también estamos revisando las mejores herramientas.
La seguridad del correo electrónico es una tarea importante de los proveedores de servicios gestionados. Estamos revisando SolarWinds Mail Assure, una de las mejores herramientas para ese propósito.
Si es un usuario avanzado de Windows, probablemente sepa y comprenda cómo realizar varias operaciones en su PC puede tener más de un enfoque y
El monitor de red de Windows requiere herramientas con requisitos limitados. Hoy, estamos echando un vistazo a las mejores herramientas de monitoreo de red para Windows 10.
